Onderzoekers hebben malafide apps in de Google Play Store ontdekt die ontwikkeld zijn om malware te installeren waarmee geld van bankrekeningen wordt gestolen. De twee apps, die zich voordoen als een "phone cleaner" en "mobile security", zijn in werkelijkheid droppers die de SharkBot-malware proberen te installeren en waren bij elkaar op het moment van de ontdekking meer dan 60.000 keer geïnstalleerd.

Zodra gebruikers de malafide apps hebben geïnstalleerd vragen die om een zogenaamde antivirus-update te installeren. Het gaat om een APK-bestand dat buiten de Google Play Store wordt aangeboden en in werkelijkheid SharkBot is. Eenmaal actief kan SharkBot, via een overlay die over de echte bank-app wordt getoond, inloggegevens en andere informatie stelen.

Ook is de malware in staat om sms-berichten te onderscheppen en te verbergen. Verder kan de malware aanvallers via remote control/ATS op afstand volledige controle over het toestel geven. Onderzoekers van Fox IT ontdekten onlangs een nieuwe versie van SharkBot die session cookies van slachtoffers steelt waarmee er op de bankrekening kan worden ingelogd.

Daarnaast vraagt deze versie niet meer om toegang tot de Accessibility service om de installatie van de SharkBot-malware zelf uit te voeren. Hierdoor is de malware afhankelijker van de gebruiker, maar maakt het ook lastiger om te detecteren, aangezien veel malware toegang tot de Accessibility service vraagt. Tevens blijkt dat de malware zich nu op meer landen richt, waaronder Spanje, Australië, Polen, Duitsland, Verenigde Staten en Oostenrijk. Het aantal landen zal naar verwachting toenemen, zo verwachten de onderzoekers.